L'ANALISI TECNICA

Il phishing prende di mira paesi NATO ed est europei: è allarme attacchi Browser-in-the-Browser

Le gang criminali sostenute da Cina, Iran, Corea del Nord e Russia stanno sfruttando il conflitto russo-ucraino e la tecnica browser-in-the-browser (BitB), rivelata di recente, per condurre campagne di phishing delle credenziali ai danni dei paesi NATO e dell’est Europa. Ecco tutti i dettagli

04 Apr 2022
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Il Threat Analysis Group (TAG) di Google ha pubblicato un aggiornamento sull’attività di campagne phishing e malware che sta monitorando in merito alla guerra in Ucraina dal quale emerge che le infrastrutture informatiche NATO e di alcune forze militari appartenenti a paesi dell’Europa dell’Est sono finite nel mirino di gang cyber riconducibili non solo alla Russia.

“Dal nostro ultimo aggiornamento, TAG ha osservato un numero sempre crescente di attori di minacce che utilizzano la guerra come esca nelle campagne di phishing e malware. Gli attori sostenuti dal governo provenienti da Cina, Iran, Corea del Nord e Russia, così come vari gruppi non attribuiti, hanno utilizzato vari temi legati alla guerra in Ucraina”, scrive il ricercatore del TAG Billy Leonard, precisando che starebbero sfruttando questa situazione anche attori criminali e finanziariamente motivati.

Tale evidenza sarebbe confermata dalle molteplici false campagne di beneficenza condotte per estorcere denaro impersonando istituzioni militari, statali e private e dagli attacchi ransomware ancora presenti.

Il TAG ha continuato il suo comunicato stilando una lista delle campagne osservate nelle ultime due settimane.

Guerra ibrida, come prepararsi al peggio: i consigli per migliorare la postura di difesa cibernetica

Le ultime campagne phishing rilevate dal TAG

Tre sarebbero le campagne malevole monitorate riguardanti in un modo o nell’altro temi relativi all’invasione russa dell’Ucraina.

L’attore di minacce bielorusso noto come Ghostwriter (UNC1151 o TA445), lo stesso gruppo probabilmente responsabile della campagna soprannominata da Proofpoint Asylum Ambuscade, starebbe sfruttando nelle proprie campagne di phishing a tema la tecnica browser-in-the-browser (BitB), recentemente divulgata dal ricercatore infosec mr.d0x.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Tale tecnica, simulando una finestra del browser all’interno del browser, consentirebbe di architettare convincenti campagne di ingegneria sociale.

Nella fattispecie, attraverso il metodo BitB è stata creata una pagina di accesso che sembra essere un dominio legittimo del portale “passport.i.ua”. In realtà, una volta che un utente fornisce le credenziali nella falsa finestra di dialogo, queste vengono inviate a un dominio presidiato dagli attaccanti.

Example of hosting credential phishing landing pages on compromised sites

Oltre alle campagne BitB attribuite all’attore Gostwriter vengono menzionati anche:

  • il gruppo noto come Curious Gorge, che il TAG avrebbe attribuito alla Forza di supporto strategico dell’Esercito popolare cinese di liberazione (PLASSF), responsabile di avere diretto attacchi contro organizzazioni governative e militari in Ucraina, Russia, Kazakistan e Mongolia;
  • il gruppo noto come COLDRIVER (Calisto) con sede in Russia. Il TAG ha affermato che quest’ultimo attore avrebbe organizzato campagne di phishing contro diverse ONG e think tank con sede negli Stati Uniti, l’esercito di un paese dei Balcani e un appaltatore della difesa ucraino.

Altre gang che stanno sfruttando il tema guerra

Tra gli altri gruppi che utilizzano la guerra come esca in campagne di phishing e malware per ingannare i target con e-mail o collegamenti fraudolenti, figurano anche:

  • Mustang Panda, un APT con sede in Cina collegata a una campagna di spionaggio informatico in corso utilizzando una variante del RAT PlugX;
  • Scarab, un attore di minacce di lingua cinese collegato alla backdoor HeaderTip usata in una campagna contro l’Ucraina da inizio conflitto;
  • Carbon Spider (FIN7), un altro gruppo di attività potenzialmente correlato a un attore di minacce russo che ha impiegato una backdoor basata su PowerShell in grado di recuperare ed eseguire un eseguibile di seconda fase;

In conclusione

Il rapporto TAG come detto è un aggiornamento in merito ad attività dannose che dall’inizio di marzo hanno visto gang statali russe, cinesi e bielorusse compromettere organizzazioni ucraine ed europee.

Purtroppo è un dato di fatto: la guerra tra Russia e Ucraina non si sta combattendo soltanto nel mondo reale, ma anche in quello spazio cyber, che la stessa NATO nel 2016 ha definito come quinto dominio di guerra dopo aria, terra, mare e spazio. L’escalation degli attacchi informatici continua inesorabilmente anche con potenze di fuoco DDoS e molteplici campagne malware distruttive.

HermeticWiper attacca l’Ucraina, allarme anche in Italia: come difendersi

Non è per niente un caso che lo CSIRT Italia per questo contesto abbia pubblicato un bollettino di sicurezza esortando più volte a innalzare le difese per l’attuale emergenza internazionale, i cui impatti in ambito informatico potrebbero essere molto elevati anche per la sicurezza del nostro paese.

Poiché oggettivamente è molto difficile in questo momento storico attribuire un attacco informatico al cyber crime o al cyberwarefare, il team del TAG ci tiene a precisare che “continuerà ad agire, identificare i malintenzionati e condividere le informazioni rilevanti con altri nel settore e nei governi, con l’obiettivo di sensibilizzare su questi problemi, proteggere gli utenti e prevenire attacchi futuri” e conclude “continuiamo a essere altrettanto vigili in relazione ad altri attori di minacce a livello globale, per garantire che non traggano vantaggio da questa situazione”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4